이번에는 forensic contest의 Puzzle #2인 Ann Skips Bail을 풀어보겠습니다.
1. 문제
After being released on bail, Ann Dercover disappears! Fortunately, investigators were carefully monitoring her network activity before she skipped town.
(보석으로 풀려난 앤 더커버는 사라집니다! 다행히도, 수사관들은 그녀가 도시를 건너 뛰기 전에 그녀의 네트워크 활동을 주의 깊게 관찰하고 있었다.)
“We believe Ann may have communicated with her secret lover, Mr. X, before she left,” says the police chief. “The packet capture may contain clues to her whereabouts.”
("우리는 앤이 떠나기 전에 그녀의 비밀 연인인 X씨와 의사소통을 했을 수도 있다고 생각합니다, "라고 경찰서장은 말한다. "패킷 캡처에는 그녀의 행방에 대한 단서가 포함되어 있을 수 있습니다.")
You are the forensic investigator. Your mission is to figure out what Ann emailed, where she went, and recover evidence including:
(당신은 법의학 수사관입니다. 당신의 임무는 앤이 이메일로 보낸 것과 어디로 갔는지를 파악하고 다음을 포함한 증거를 복구하는 것입니다.)
1. What is Ann’s email address? (앤의 이메일 주소는 무엇입니까?)
2. What is Ann’s email password? (앤의 이메일 비밀번호는 무엇입니까?)
3. What is Ann’s secret lover’s email address? (앤의 비밀 연인의 이메일 주소는?)
4. What two items did Ann tell her secret lover to bring? (앤이 그녀의 비밀 연인에게 어떤 두 가지 물건을 가져오라고 말했나요?)
5. What is the NAME of the attachment Ann sent to her secret lover? (앤이 그녀의 비밀 연인에게 보낸 첨부 파일의 이름은?)
6. What is the MD5sum of the attachment Ann sent to her secret lover? (앤이 자신의 비밀 연인에게 보낸 첨부 파일의 MD5 값은?)
7. In what CITY and COUNTRY is their rendez-vous point? (그들의 랑데부 지점은 어느 도시와 국가입니까?)
8. What is the MD5sum of the image embedded in the document? (문서에 포함된 이미지의 MD5 값은 얼마입니까?)
Here is your evidence file:
http://forensicscontest.com/contest02/evidence02.pcap
MD5 (evidence02.pcap) = cfac149a49175ac8e89d5b5b5d69bad3
2. 풀이
이번에도 문제풀이 전에 MD5값을 확인해 주도록 하겠습니다.
문제없으니 진행하도록 하겠습니다.
우선 Wireshark를 통해 해당 파일을 열어줍니다.
이번 문제에서는 Ann의 IP 주소가 나와있지 않습니다. 따라서 Ann의 IP 역시 추측해야 합니다. 우선 당장은 필요 없어 보이는 NBNS와 Syslog는 넘어가도록 하겠습니다.
이후 스크롤을 내리다 보면 192.168.1.159가 SMTP를 사용해 통신을 시도하고 있음을 볼 수 있습니다. 아마 192.168.1.159가 Ann으로 추측됩니다.
패킷을 확인하다 보면 Ann이 로그인을 시도하는 Packet이 있습니다.
여기서 User값과 Pass값이 Ann의 ID와 Password라고 생각하실 수도 있지만 SMTP에서 전달되는 모든 값은 base64로 인코딩 되어 전달됩니다. 따라서 이 값을 디코딩해야만 정확한 값을 알 수 있습니다.
저는 base64를 디코딩하기 위해 웹사이트를 사용하겠습니다.
Base64 Decode and Encode - Online
Decode from Base64 format or encode into it with various advanced options. Our site has an easy to use online tool to convert your data.
www.base64decode.org
해당 값들을 디코딩한 결과 sneakyg33k@aol.com와 558r00lz이 나옵니다. 이것이 문제 1번과 2번의 답인 Ann의 이메일과 비밀번호입니다.
이제 Ann의 비밀연인의 주소를 찾아야 합니다. 이것은 Ann과 메일을 주고받은 사람의 이메일을 확인하면 될 것입니다. 이를 위해 이 SMTP의 TCP Stream 전체를 확인해 보겠습니다.
첫 로그인부터 모든 패킷이 보입니다. 여기서 조금 내리면 메일의 내용이 보입니다.
Ann인 sneakyg33k@aol.com이 mistersecretx@aol.com와 메일을 주고받은 내용으로 보입니다. Hi sweetheart!라고 보내고 있습니다. sweetheart는 연인사이에 부르는 애칭이므로 mistersecretx@aol.com 이 Ann의 비밀 연인임을 알 수 있습니다.
또한 내용에서 fake passport와 bathing suit를 가져왔다고 하니 Ann이 부탁한 두 가지 물품이 fake passport and a bathing suit임을 알 수 있습니다.
또한 쭉 내려가다 보면 첨부파일이 눈에 띕니다.
filename에 secretrendezvous.docx가 보입니다. 이것이 문제 5의 첨부 파일 이름입니다. 이제 이것을 추출해 보겠습니다.
SMTP는 첨부파일 역시 base64로 인코딩합니다. 따라서 base64를 Hex로 변환해야 합니다. 역시 이번에도 웹사이트를 사용해 보겠습니다.
https://base64.guru/converter/decode/hex
Base64 to Hex | Base64 Decode | Base64 Converter | Base64
The “Base64 to Hex” converter is a free tool which is able to convert online Base64 strings to Hex values. The conversion process is quite simple: the converter decodes the Base64 into the original data, then encodes it to Hex value and gives you the f
base64.guru
파일의 Stream으로 보이는 UEsDBB부터 ------=_NextPart 이전까지 복사하여 해당 사이트에서 디코딩해 줍니다.
디코딩 결과의 시작 4 Byte가 50 4B 03 04인 것으로 보아 Docx 파일입니다. 제대로 찾았습니다.
이제 HxD를 실행하여 이 값을 복사하여 붙여 넣어 줍니다.
이제 이것을 secretrendezvous.docx로 저장해 줍니다. 이제 이것의 MD5 값을 확인해 줍니다.
MD5값은 9e423e11db88f01bbff81172839e1923 임을 알 수 있습니다.
이제 랑데부 지점을 알기 위해서 파일을 열어줍니다.
사진에서 랑데부 지점은 Playa del Carmen이라고 나와있습니다. 이곳은 Mexico의 도시이므로 랑데부 지점은 Mexico, Playa del Carmen입니다.
마지막으로 사진의 MD5 값을 확인해야 합니다. 문제는 일반적으로 사진을 저장하듯이 사진을 우클릭하고 다른 이름으로 저장을 누르면 사진을 압축하여 저장합니다. 손실이 발생하니 MD5의 값도 달라지게 되는 셈입니다.
따라서 사진을 손실 없이 추출해야 하는데, 워드에서는 다음의 방법을 사용해야 합니다.
파일 - 다른 이름으로 저장 - 찾아보기 - 파일 형식을 웹페이지(*. html)로 변경 후 저장
이후 저장하게 되면 폴더가 생기는 데, 우리가 찾는 사진의 원본 크기의 사진이 들어 있습니다.
이때 image002는 미리 보기 이미지로, 우리가 원하는 파일이 아니니 주의하시기 바랍니다. 이제 image001의 MD5 값을 알아보겠습니다.
이것으로 사진의 MD5는 aadeace50997b1ba24b09ac2ef1940b7 임을 알 수 있습니다.
3. 마무리
이제 문제와 답을 함께 써 보겠습니다.
1. What is Ann’s email address? (앤의 이메일 주소는 무엇입니까?)
sneakyg33k@aol.com
2. What is Ann’s email password? (앤의 이메일 비밀번호는 무엇입니까?)
558r00lz
3. What is Ann’s secret lover’s email address? (앤의 비밀 연인의 이메일 주소는?)
mistersecretx@aol.com
4. What two items did Ann tell her secret lover to bring? (앤이 그녀의 비밀 연인에게 어떤 두 가지 물건을 가져오라고 말했나요?)
fake passport and a bathing suit
5. What is the NAME of the attachment Ann sent to her secret lover? (앤이 그녀의 비밀 연인에게 보낸 첨부 파일의 이름은?)
secretrendezvous.docx
6. What is the MD5sum of the attachment Ann sent to her secret lover? (앤이 자신의 비밀 연인에게 보낸 첨부 파일의 MD5 값은?)
9e423e11db88f01bbff81172839e1923
7. In what CITY and COUNTRY is their rendez-vous point? (그들의 랑데부 지점은 어느 도시와 국가입니까?)
Mexico, Playa del Carmen
8. What is the MD5sum of the image embedded in the document? (문서에 포함된 이미지의 MD5 값은 얼마입니까?)
aadeace50997b1ba24b09ac2ef1940b7
이제 이것이 맞는지 확인해 보겠습니다.
https://forensicscontest.com/2009/11/24/puzzle-2-answers
Puzzle #2 Answers – Network Forensics Puzzle Contest
Thank you all for your contest submissions! We received well over a hundred and we are busily reviewing them. In the meantime, here are the answers: 1. What is Ann’s email address? Answer 1: [email protected] 2. What is Ann’s email password?
forensicscontest.com
7번에서 도시와 국가의 순서가 바뀌었지만 모두 정답입니다.
4. 마치며
이번에는 Puzzle 2를 풀어보았습니다. 이번 문제에서 가장 헷갈리는 점은 워드 파일에서 사진을 추출하는 것이라고 생각합니다. 평소처럼 사진을 "그림 저장"하여 저장하게 되었을 경우 8번 문제에서 틀리기 때문입니다.
'보안 > 포렌식' 카테고리의 다른 글
| LMG Network Forensics) 3. Ann's AppleTV (네트워크 포렌식) (0) | 2022.12.26 |
|---|---|
| LMG Network Forensics) 1. Ann’s Bad AIM (네트워크 포렌식) (2) | 2022.12.22 |
| LMG Network Forensics) 0. forensic contest? (네트워크 포렌식) (0) | 2022.12.21 |